นักวิจัยของ Check Point บริษัทด้านความปลอดภัยทางไซเบอร์ เปิดเผยการค้นพบ loader malware ที่มีความสามารถในการแพร่กระจายมัลแวร์ผ่านทาง Google Ad ที่มีชื่อว่า DotRunpeX
การโจมตีของ DotRunpeX Malware
นักวิจัยระบุว่า Hacker จะเริ่มต้นจากการนำเว็บไซต์อันตรายที่มีการติดตั้งโทรจันซึ่งปลอมแปลงเป็นซอฟต์แวร์ยอดนิยมต่างๆ เช่น AnyDesk และ LastPass ไปแสดงในหน้าค้นหาบน Google Ad เพื่อให้เหยื่อทำการกดลิงค์เข้าถึงเว็บดังกล่าว และดาวน์โหลด DotRunpeX ไปยังเครื่องเป้าหมาย
DotRunpeX ถูกพบครั้งแรกในเดือนตุลาคม 2022 เป็นมัลแวร์ที่สามารถแทรกคำสั่งอันตรายที่เขียนด้วย .NET โดยใช้เทคนิค Process Hollowing เพื่อแพร่กระจายมัลแวร์ประเภทต่าง ๆ เช่น Agent Tesla , Ave Maria , BitRAT , FormBook , LokiBot , NetWire , Raccoon Stealer , RedLine Stealer , Remcos , Rhadamanthys และ Vidar โดยมัลแวร์ที่อยู่ในรายการเหล่านี้ ยังมีความสามารถในการป้องกัน หรือปิดระบบป้องกันด้านความปลอดภัยอีกด้วย รวมถึง DotRunpeX ยังมีการใช้ procexp.sys ในการโจมตีช่องโหว่ และยกระดับสิทธิเป็น kernel mode อีกด้วย
Check Point คาดการณ์ว่า DotRunpeX อาจจะมีส่วนเกี่ยวข้องกับกลุ่ม Hacker ชาวรัสเซีย เนื่องจากพบว่ามัลแวร์ที่ถูกใช้แพร่กระจายบ่อย ๆ คือ RedLine, Raccoon, Vidar, Agent Tesla และ FormBook ซึ่งเป็นมัลแวร์ที่มีความเกี่ยวข้องกับ Hacker ชาวรัสเซียทั้งสิ้น
ที่มา : thehackernews
You must be logged in to post a comment.